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* j (57) Abstract: The invention relates to a method for retrieving at least one set of data from an external data source in a computer 
^ unit, as known per DE 100 43 499 for example, in addition to a correspondingly embodied computer unit. According to the inventive 
^J; method for re-recording at least one data set from an external data source in a computer unit, the at least one data set from the external 
data source is transferred, together with additional information, to an intermediate memory of the computer unit The additional 
information is used to verify the validity of the use of the at least one data set. A blocking signal is produced if, upon verification, the 
use of the at least one data set is invalid and the at least one set of data is deleted from the intermediate memory. A release signal is 

O produced if the use of the at least one set of data is valid. According to the invention, the additional information includes an identifier 
h which is individually assigned to the computer unit. The validity is monitored in the computer. 
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Veroffentlicht: Zwr Erklarung der Zweibuchstaben- Codes und der anderen Ab- 

— ohne internationalen Recherchenbericht und erneut zu ver- kurzungen wird auf die Erklarungen ("Guidance Notes on Co- 
offentlichen nach Erhalt des Berichls des and Abbreviations") am Anfangjeder regularen Ausgabe der 

PCT -Gazette verwiesen. 



(57) Zusammenfassung: Die vorliegende Erfindung betriffi ein Verfahren zum Ubernehmen wenigstens eines Datensatzes einer 
externen Datenquelle in eine Recheneinheit, wie es beispielsweise aus der DE 100 43 499 Al bekannt ist, sowie eine entsprechend 
gestaltete Recheneinheit Bei einem solchen Verfahren zum Uberspielen wenigstens eines Datensatzes einer externen Datenquelle in 
eine Recheneinheit wird der wenigstens eine Datensatz von der externen Datenquelle zusammen mit Zusatzinformationen in einen 
Zwischenspeicher der Recheneinheit abertragen. Aufgrund der Zusatzinformationen wird eine Oberpriifung der Zulassigkeit der 
Verwendung des wenigstens einen Datensatz vorgenommen. Es wird ein Sperrsignal generiert, wenn die Uberprufung ergibt, dass 
die Verwendung des wenigstens einen Datensatzes nicht zulassig ist Der wenigstens eine Datensatzes wird dann vom Zwischen- 
speicher gelQscht Ein Freigabesignal wird generiert, wenn die Verwendung des wenigstens einen Datensatzes zulassig ist. GemaB 
der Erfindung enthalt die Zusatzinformationen eine der Recheneinheit individuell zugeordnete Kennung, wobei die Uberprufung der 
Gultigkeit in der Recheneinheit erfolgt. 
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Verfahren zum Uberspielen wenigstens eines Datensat- 
zes aus einer externen Datenquelle in eine Rechenein- 
heit, sowie Recheneinheit 

STAND PER TECHNIK 

Die vorliegende Erfindung betrifft ein Verfahren zum 
Obernehmen wenigstens eines Datensatzes einer exter- 
nen Datenquelle in eine Recheneinheit, wie es bei- 
spielsweise aus der DE 100 43 499 Al bekannt ist, so- 
wie eine entsprechend gestaltete Recheneinheit. 

Gemaft den in der DE 100 43 4 99 Al beschriebenen Ver- 
fahren wird wenigstens ein Datensatz - bei dem es 
sich beispielsweise um Programmcode oder im Ablauf 
eines Programms verwertete Inf ormationen handeln 
kann, die in einem Speicher einer Recheneinheit zur 
weiteren Verwendung abgespeichert werden - einer Re- 
cheneinheit, wie einem Steuergerat eines Fahrzeugs ii- 
bermittelt. Dabei wird der wenigstens eine Datensatz 
zusammen mit Zusatzinf ormationen, beispielsweise als 
zusammengehoriges Datenpaket, von der Datenquelle an 
die Recheneinheit ubermittelt. Die Recheneinheit ladt 
die ubermittelten Daten in einen ihr zugeordneten 
Zwischenspeicher ein. Anschliefiend nimmt die Rechen- 
einheit insbesondere mittels Datenf ernubertragung 
Kontakt mit einer externen Oberpruf ungseinheit auf, 
identif iziert sich bei der externen Oberpruf ungsein- 
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heit und ubermittelt dieser zumindest einen Teil der 
Zusatzinf ormationen . Die externe Oberprlif ungseinheit 
verifiziert anhand des ubermittelten Teiles der Zu- 
satzinf ormationen und der Identitat der Rechenein- 
heit, ob die Verwendung des wenigstens einen Daten- 
satzes in der Recheneinheit zulassig ist oder nicht. 
Entsprechend dem Ergebnis der Uberprtifung wird der 
Recheneinheit entweder ein Freigabesignal oder ein 
Sperrsignal ubermittelt. Im Falle der Obermittlung 
des Sperrsignals kommt es zu einem Loschen des we- 
nigstens einen Datensatzes von dem Zwischenspeicher . 
Andernfalls wird der ubermittelte wenigstens eine Da- 
tensatz in der Recheneinheit verwendet . 

Es ist wiinschenswert, wenn in Recheneinheiten, wie 
Steuergeraten von Kraf tf ahrzeugen, dort abgelegte Da- 
tensatze extern veranderbar sind. Dies kann bei- 
spielsweise zu Zwecken des Updates solcher Steuerge- 
rate erfolgen, wodurch ein Austausch des Steuergera- 
tes vermieden wird. Die Obertragung von Datensatzen 
zur Recheneinheit kann dabei durch Datenf ernubertra- 
gung oder uber eine entsprechende mit der Rechenein- 
heit verbundene Schnittstelle, wie einer Diagnose- 
schnittstelle eines Kraf tf ahrzeugs, erfolgen. Die Da- 
tensatze werden auf einer Datenquelle bereitgestellt , 
wobei es sich bei der Datenquelle sowohl um Daten- 
speicher als auch um Datenverarbeitungsgerate handeln 
kann. 

Dabei soil zum Einen sichergestellt werden, dass nur 
Datensatze an die Recheneinheit ubertragen und von 
dieser verwendet werden, die autorisiert sind. Eine 
unzulassige Veranderung der Datensatze oder ein Auf- 
spielen nicht f reigegebener Datensatze soil verhin- 
dert werden, da die Verwendung nicht f reigegebener 
Datensatze zu Storungen im Betrieb der Recheneinheit 
oder mit der Recheneinheit verbundener weiterer Re- 
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cheneinheiten fuhren kann. Andererseits soil die Pro- 
zedur des Aufspielens in moglichst einfacher Weise zu 
bewerkstelligen sein. 

VORTEILE PER ERFINDUNG 

Beim erf indungsgemaBen Verfahren zum Uberspielen we- 
nigstens eines Datensatzes einer externen Datenquelle 
in eine Recheneinheit mit den Merkmalen des Anspru- 
ches 1 wird der wenigstens eine Datensatz von der ex- 
ternen Datenquelle zusammen mit Zusat zinf ormationen 
in einen Zwischenspeicher der Recheneinheit ubertra- 
gen. Aufgrund der Zusatzinf ormationen wird eine Ober- 
priifung der Zulassigkeit der Verwendung des wenigs- 
tens einen Datensatz vorgenommen. Es wird ein Sperr- 
signal generiert, wenn die Uberprufung ergibt, dass 
die Verwendung des wenigstens einen Datensatzes nicht 
zulassig ist. Der wenigstens eine Datensatzes wird 
dann vom Zwischenspeicher geldscht. Ein Freigabesig- 
nal wird generiert, wenn die Verwendung des wenigs- 
tens einen Datensatzes zulassig ist. Gemaft der Erfin- 
dung enthalt die Zusatzinf ormationen eine der Rechen- 
einheit individuell zugeordnete Kennung, wobei die 0- 
berprufung der Gultigkeit in der Recheneinheit er- 
folgt . 

Es wird also an den Datensatz eine Zusatzinf ormation 
angefugt, die eine Kennung enthalt. In der Rechenein- 
heit wird dann uberpruft/ ob die Kennung gUltig ist, 
also entsprechenden Oberpruf ungskriterien entspricht. 
Ist dies der Fall, so wird das Freigabesignal gene- 
riert, andernfalls wird das Sperrsignal erzeugt. Da- 
bei ist die Kennung der Recheneinheit individuell zu- 
geordnet, eine fur eine Recheneinheit gultige Kennung 
ist also bei alien anderen Recheneinheiten, auch de- 
nen der gleichen Bauserie, ungultig. Somit kann das 
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Oberspielen von Datensatzen fur jede einzelne Rechen- 
einheit individuell vorgenommen werden, Datensatze 
konnen nicht von einer Recheneinheit auf eine bau- 
gleiche andere Recheneinheit kopiert werden. Bei der 
Kennung handelt es sich dabei vorzugsweise um ein in 
einem Kennwortgenerator erzeugtes Datenwort, wobei 
der Kennwortgenerator insbesondere ein Zuf allsgenera- 
tor ist. Das im Kennwortgenerator erzeugte Datenwort 
ist dabei beispielsweise eine Zeichenfolge oder eine 
Folge von Zahlen, wie eine Folge von Hexadezimalzah- 
len. 

Diese Vorgehensweise hat den Vorteil, dass die Uber- 
prufung der Gultigkeit in der Recheneinheit selbst 
erfolgt und bei der Oberprufung keine manipulierbare 
Datenkommunikation mit anderen, externen Einrichtun- 
gen erforderlich ist. Daruber hinaus kann mit der 
Kennung in der Recheneinheit laufend oder periodisch 
uberpruft werden, ob die verwendete Version gultig 
ist oder nicht. Auch ist zum Zeitpunkt des Uberspie- 
lens des wenigstens einen Datensatzes zusammen mit 
den Zusatzinf ormationen auf die Recheneinheit keine 
weitere Beteiligung von Kommunikationseinrichtungen 
erforderlich. Auch dann, wenn eine Datenf erniibertra- 
gung vom Fahrzeug aus, beispielsweise temporar, nicht 
moglich ist, kann ein Update erfolgen und der wenigs- 
tens eine Datensatz, Gultigkeit vorausgesetzt, uber- 
nommen werden. 

Eine vorteilhafte Ausgestaltung der Erfindung sieht 
dabei vor, dass eine Signatur Bestandteil der Zu- 
satzinf ormationen ist, wobei die Signatur auch die 
verwendete Kennung mit einbeziehen kann, um zu ver- 
hindern, dass ein Austausch des wenigstens einen, 
gultigen Datensatzes, der Zusammen mit einer Zusatz- 
information ubertragen werden soil gegen einen ande- 
ren, insbesondere nicht gultigen Datensatz erfolgt. 
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Die Uberprufung der Integritat und der Zugehorigkeit 
der Signatur ist dann insbesondere auch Bestandteil 
der Uberprufung der Giiltigkeit der ubermittelten Da- 
ten. 

Gemali bevorzugter Ausgestaltung der Erfindung ist ei- 
ne Kennung nur einmal zum Uberprufen von in dem Zwi- 
schenspeicher abgelegten, wenigstens einem ubermit- 
telten Datensatzes giiltig. Diese MaJinahme verhindert, 
dass die Kennung bei einem Ubermitteln abgehort oder 
abgefangen wird und dann zum Oberspielen anderer, 
nicht autorisierter Datensatze verwendet wird. 

Gemaft weiterer Ausgestaltung der Erfindung wird dann, 
wenn das Freigabesignal erzeugt wurde, der wenigstens 
eine Datensatz von dem Zwischenspeicher in einen 
Funktionsspeicher, aus dem er zu Verarbeitungszwecken 
auslesbar ist, ubertragen. Diese Maftnahme stellt in 
vorteilhaf ter Weise sicher, dass der Datensatz erst 
zu einem Zeitpunkt in den Funktionsspeicher ubergeben 
wird, zu dem seine Giiltigkeit bereits positiv uber- 
pruft wurde. Somit ist, bis zum Oberspielen eines an- 
deren, als giiltig erkannten Datensatzes immer der 
letzte Version des Datensatzes, der als giiltig er- 
kannt wurde im Funktionsspeicher abgespeichert und 
dort zur Verwendung auslesbar. Durch Versuche des 
Aufspielens ungultiger Datensatze wird der im Funkti- 
onsspeicher abgespeicherte Datensatz nicht beein- 
trachtigt. Somit ist die Verf iigbarkeit der Rechenein- 
heit immer sichergestellt . Daneben ist es auch mog- 
lich, dass die Kennung zusammen mit dem wenigstens 
einen Datensatz im Funktionsspeicher abgespeichert 
und beim Aufrufen eines Datensatzes aus dem Funkti- 
onsspeicher die zugehorige Kennung auf Giiltigkeit u- 
berpruft wird. Dies ist auch dann moglich, wenn die 
Kennung nur zum einmaligen Uberprufen eines tiber- 
spielten Datensatzes geeignet ist, da der Datensatz 
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ja nunmehr im Funktionsspeicher und nicht mehr im 
Zwischenspeicher abgelegt ist und lediglich fur die 
Oberpriifung im Zwischenspeicher abgelegter Daten eine 
neue Kennung erforderlich ist. Auf diese Weise kann 
eine Manipulation des im Funktionsspeicher abgelegten 
Datensatzes, beispielsweise durch Austausch des Spei- 
cherbausteins, der den Funktionsspeicher enthalt vor- 
gebeugt werden. Diese Oberpriifung kann auch lediglich 
in periodischen Abstanden, beispielsweise jeweils 
nach Fahrzeugstart oder einer vorgegebenen Anzahl von 
Auf ruf en erf olgen . 

In weiterer vorteilhaf ter Ausgestaltung eines erfin- 
dungsgemafien Verfahrens ist in einem Kennwortspeicher 
der Recheneinheit eine Liste von Kennworten abgelegt. 
Die zusammen mit dem wenigstens einen Datensatz uber- 
mittelte Kennung wird mit dem Kennwort verglichen. Es 
wird auf Gultigkeit geschlossen wird, wenn die Ken- 
nung der zusammen mit dem wenigstens einen Datensatz 
ubermittelten Zusatzinf ormationen mit dem Kennwort u- 
bereinstimmt bzw. die Kombination von Kennung und 
Kennwort zu uberpruf enden Kriterium genugen. So kon- 
nen beispielsweise Kennung und Kennwort zwei Schlus- 
selteile eines Codes sein, wobei die Kombination von 
Kennwort und Kennung zusammen ein Ver- und/oder Ent- 
schliisseln einer kodierten Datensequenz ermoglicht 
und so das Zusammenpassen von Kennwort und Kennung u- 
berprufbar ist. Dabei ist in weiterf uhrender Ausges- 
taltung in der Recheneinheit ein Zahler ausgebildet, 
dessen Zahlerstand abgespeichert ist. Der Zahler- 
stand verweist auf ein Kennwort des Kennwortspei- 
chers. Vor jeder Uberpruf ung einer Kennung von we- 
nigstens einem im Zwischenspeicher abgelegten Daten- 
satz wird der Zahler inkrementiert , so dass hierdurch 
ein Kennwort nur einmal zur Oberpriifung neu aufge- 
spielter Datensatze verwendet werden kann. 
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Dabei ist es wichtig, dass die Liste der Kennworte 
nicht auslesbar Oder beschreibbar ist. Hierzu ist 
vorzusehen, dass in der Recheneinheit keine Proto- 
kollbefehle enthalten sind, die das Auslesen oder Be- 
schreiben des Speicherbereichs mit den Nummern uber 
externe Schnittstellen erlauben. Erganzend oder al- 
ternativ kann es vorgesehen sein, die Recheneinheit 
durch Vergieften gegen einen Zugang uber Hardware-Pins 
zu schutzen. Der Zahlerstand muss fest gespeichert 
werden und auch ohne Stromversorgung erhalten blei- 
ben. Hierzu kann der Zahlerstand insbesondere auf ei- 
nem EE PROM abgelegt werden. 

Gemaft bevorzugter Ausgestaltung der Liste von Kenn- 
worten sollte sie einen moglichst geringes Speicher- 
volumen in der Recheneinheit in Anspruch nehmen, an- 
dererseits ist die Lange des Kennwortes so zu wahlen, 
dass es nicht durch Erraten oder Ausprobieren heraus- 
gefunden werden kann. Eine Kennwort lange von z.B. 32 
Bit, also 4 Byte oder 2 Hexadezimalzahlen durfte 
hierzu ein moglicher Kompromiss zwischen Sicherheit 
und Speichervolumen darstellen. Der dann fur eine 
Kennwortliste von 256 Kennworten erf orderliche Spei- 
cherbedarf liegt bei einem KByte. Da Speichervolumina 
im Bereich von 1 MByte und daruber auch in Steuerge- 
raten von Fahrzeugen verfugbar sind, ist ein Volumen 
von 1 KByte ein relativ geringes Volumen. Auch sollte 
in vorteilhafter Ausgestaltung die Anzahl der Kenn- 
worte in der Liste moglichst gering gewahlt werden, 
jedoch an den Bedarf von Oberspielungen von Datensat- 
zen auf die Recheneinheit wahrend ihrer Lebensdauer 
angepasst sein. Ein zyklisches Durchlaufen der Liste 
von Kennworten kann zwar auch moglich sein, durch die 
mehrfache Verwendung der Kennworte konnen diese aber 
durch Dritte herausgef unden werden, so dass dies ein 
gewisses Aufweichen der Sicherheit zur Folge hat. 
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Als Schutz gegen Herausf inden der erf orderlichen zu 
uberspielenden Kennung kann es vorgesehen sein, dass 
bei jedem Oberspielversuch wenigstens eines Datensat- 
zes eine neue Kennung erforderlich ist. Andererseits 
ist zu beachten, dass Datenubertragungen auch gestort 
werden konnen und es daher unter Umstanden mehrer 0- 
bertragungsversuche bedarf, bis der wenigstens eine 
Datensatz und die Zusatzinf ormationen in den Zwi- 
schenspeicher iibertragen sind. Damit nicht bei jedem 
Obertragungsversuch eine neue Kennung in die Zusatz- 
inf ormationen eingebracht werden muss und zugleich 
eine grofle Anzahl von Kennworten verbraucht wird, 
kann es vorgesehen sein, dass die Oberprufung der 
Kennung erst stattfindet, wenn die Vollstandigkeit 
und Richtigkeit der Obertragung der Daten in den Zwi- 
schenspeicher festgestellt wurde . Hierzu kann insbe- 
sondere ein Vergleich der in dem Zwischenspeicher ab- 
gelegten Daten oder einer daraus abgeleiteten Signa- 
tur mit den Daten der Datenquelle erfolgen. Auch kann 
eine Bestatigung des Bedieners abgefragt werden, der 
die Obertragung als in Ordnung quittieren muss, bevor 
die Oberprufung der Kennung durchgefiihrt wird. Da- 
durch dass dann bei jeder Oberprufung der Kennung in 
der Recheneinheit ein anderes Kennwort verwendet und 
damit auch verbraucht wird, ist ein Herausfinden der 
erf orderlichen Kennung durch systematisches Versuchen 
unmoglich. 

Erganzend oder alternativ hierzu ist es auch moglich 
vorzusehen, dass nach einer def inierten Anzahl von 
Fehlversuchen gleich mehrere auf einanderf olgenden 
Kennungen als Zusatzinf ormation mitttbertragen werden 
mussen und auf Gultigkeit uberpriift werden. Es ist 
auch denkbar ein Verzogerungsglied vorzusehen, das 
die fur einen einzelnen Versuch erf orderliche Zeit so 
erhoht, dass nicht alle Moglichkeiten in einer abseh- 
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baren Zeit ausprobiert werden kbnnen. 

Gemaft bevorzugter Ausgestaltung eines erf indungsgema- 
ften Verfahrens ist die Recheneinheit uber eine Iden- 
tif ikationssequenz identif izierbar. Die I dent if ikati- 
onssequenz ist vorzugsweise auch Teil der Zusatzin- 
formationen und kann bei der Oberprufung der Gultig- 
keit des wenigstens einen Datensatzes verwendet wird. 
Durch das Einbinden der Identif ikationssequenz in die 
Zusatzinf ormationen wird uberpriifbar, ob der wenigs- 
tens eine Datensatz auch zur Einbringung in der Re- 
cheneinheit bestimmt ist. Die Identif ikationssequenz 
ist insbesondere eine in der Recheneinheit auslesbar 
aber nicht uberschreibbare Zeichensequenz, die der 
Recheneinheit individuell zugeordnet ist und die nur 
einmal vergeben ist und somit die Recheneinheit von 
alien anderen baugleichen Recheneinheiten unterschei- 
det . 

Zur Durchfiihrung erf indungsgemafier Verfahren ist es 
gemafi vorteilhaf ter Ausgestaltung vorgesehen, dass 
fur wenigstens ein Steuergerat, vorzugsweise aber fur 
eine Vielzahl von Steuergeraten in einem Kennungsser- 
ver der entsprechenden Recheneinheit, beispielsweise 
liber die Identif ikationssequenz, zugeordnet gultige 
Kennungen vorzugsweise in Form einer Liste abgespei- 
chert sind. Hierbei ist vorzugsweise zusammen mit den 
Kennungen der Zahlerstand des Zahlers der Rechenein- 
heit abgespeichert , so dass dem Kennwortserver immer 
die nachste zu verwendende Kennung bekannt ist und 
diese beispielsweise auf Anfrage einem Berechtigten 
ubermittelt werden kann. Dabei ist es sowohl moglich, 
dass der Berechtigte die erf orderliche Kennung beim 
Kennungsserver abfragt und dann die Verbindung der 
Kennung mit den anderen Zusatzinf ormationen sowie dem 
wenigstens einen Datensatz vornimmt, als auch, dass 
der Berechtigte die von diesem benotigten Daten an 
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den Kennungsserver ubermittelt und dann im Kennungs- 
server insbesondere auch unter Verwendung weiterer 
Sicherungsmafinahmen wie Verschlusselungen und Beifii- 
gen von Signaturen den wenigstens einen Datensatz und 
die Zusatzinf ormationen aufbereitet. Ein in den Zwi- 
schenspeicher zu ubermittelnder Gesamtdatensatz wird 
erzeugt und dann an den Berechtigten zum Einspielen 
in die Recheneinheit oder direkt in die Recheneinheit 
ubermittelt- Bei letzterer Moglichkeit kann im Ken- 
nungsserver iiberpruft werden, ob das Aufspielen des 
wenigstens einen Datensatzes auf die Recheneinheit 
zulassig ist, bevor die Kennung den Zusatzinf ormatio- 
nen beigefiigt wird. 

Wird die Kennung an die Datenquelle ubermittelt kann 
nur iiberpruft werden, ob diese zum Erzeugen und/oder 
Uberspielen zulassiger Datensatze befugt ist. Durch 
die erf orderliche Anfrage beim Kennungsserver zum Er- 
fragen der erf orderlichen Kennung ist es moglich im 
Kennungsserver eine Historie der Zugriffe mitzuproto- 
kollieren. Es wird dann moglich die Zugriffe zuruck- 
zuverfolgen. Hierdurch kann, beispielsweise in Fallen 
des Missbrauchs von herausgegebenen Kennungen, die 
Quelle des Missbrauchs festgestellt werden. 

Eine Recheneinheit gemafi der Erfindung weist einen 
Zwischenspeicher und einen iiberschreibbaren Funkti- 
onsspeicher, die beide zum Ablegen von wenigstens ei- 
nem Datensatz dienen, auf. Auf den Funktionsspeicher 
wird wahrend der Funktion der Recheneinheit zugegrif- 
fen. Ober eine Schnittstelle kann wenigstens ein Da- 
tensatz zusammen mit Zusatzinf ormation in den Zwi- 
schenspeicher ubermittelt werden. In der Rechenein- 
heit ist eine Oberpruf ungseinheit zum Uberprufen der 
Gultigkeit des wenigstens einen Datensatzes anhand 
einer in den Zusatzinf ormationen enthaltenden Kennung 
nach einem der vorstehenden Verfahren enthalten. Ge- 
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maft bevorzugter Ausgestaltung der Erfindung weist die 
Recheneinheit einen nur auslesbaren Kennwortspeicher 
auf . In dem Kennwortspeicher sind Kennworte abgelegt. 
Dabei ist dem Kennwortspeicher vorzugsweise ein Zah- 
ler mit inkrementierbarem Zahlerstand zugeordnet. Der 
Zahler verweist vorzugsweise auf ein Kennwort inner- 
halb einer Liste insbesondere nur einmalig verwendba- 
rer Kennworte des Kennwortspeichers . Die Rechenein- 
heit ist insbesondere iiber eine Identif ikationsse- 
quenz individualisiert . Bei einer erf indungsgemaften 
Recheneinheit handelt es sich vorzugsweise um ein 
Steuergerate fur ein Kraf tf ahrzeug . 

ZEICHNUNG 

Weitere vorteilhafte Ausf iihrungsf ormen der Erfindung 
konnen neben den Anspruchen auch der Beschreibung 
entnommen werden. Im ubrigen ist die Erfindung nach 
folgend an Hand des in der Zeichnung dargestellten 
Ausfiihrungsbeispiels naher erlautert; dabei zeigt: 

Figur 1: in schematischer Darstellung ein Blockdia- 
gramm von Kennungsserver , Datenquelle und Re- 
cheneinheit; und 

Figur 2: das Flussdiagramm eines erf indungsgemafien 
Verf ahrens . 

BESCHREIBUNG DES AUSFPHRUNGSBEISPIELS 

Die Figur 1 zeigt in schematischer Darstellung die 
bei der Durchfiihrung eines erf indungsgemaiien Verfah- 
rens mitwirkenden Funktionselemente . Es soil wenigs- 
tens ein Datensatz 12 von der Datenquelle 10 auf die 
Recheneinheit 20 ubertragen werden. Bei der Daten- 
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quelle 10 handelt es sich beispielsweise urn eine Da- 
tenverarbeitungseinrichtung, die in einer Werkstatt 
bereitgestellt ist, wahrend es sich bei der Rechen- 
einheit 20 urn ein Steuergerat eines Kraf tf ahrzeugs 
handeln kann. Daneben ist noch ein Kennungsserver 18 
erforderlich, der beispielsweise zentral vom Fahr- 
zeughersteller bereitgestellt und verwaltet wird und 
der damit eine gute und sichere Zugangskontrolle zu 
den Kennworten gewahrleistet . 

Die Recheneinheit 20 weist zum Oberspielen von Daten 
eine Schnittstelle 21 auf. Zum Speichern der an der 
Schnittstelle 21 eingehenden Daten dient der Zwi- 
schenspeicher 22. Die Gultigkeit der in der Schnitt- 
stelle gespeicherten Daten wird in der Oberpruf ungs- 
einheit 23 uberpriift, wobei die Oberpruf ungseinheit 
hierzu uber den Zahler 24 auf ein Element der Liste 
von Kennworten 25a, 25b, 25c, 25d des Kennwortspei- 
chers 25 zugreift. Wenn die Daten als gultig erkannt 
werden, so konnen sie gesteuert durch die Oberpru- 
fungseinheit aus dem Zwischenspeicher 22 in den Funk- 
tionsspeicher 26 iiberfuhrt werden. Ein zentraler 
Rechner 27 der Recheneinheit , eine CPU, greift auf 
den Funktionsspeicher 26 zuruck urn Aufgaben abzuar- 
beiten. Dabei kSnnen in dem Funktionsspeicher 26 so- 
wohl auf der CPU 27 abarbeitbare Programme in ent- 
sprechender Codierung als auch wahrend der Abarbei- 
tung eines Programms erf orderliche Inf ormationen, wie 
Parameterwerte, Kennfelder und dergleichen abgelegt 
sein. Daher konnen sowohl Programme als auch bei der 
Abarbeitung von Programmen verwendete Inf ormationen 
mittels eines erf indungsgemafien Verfahrens auf die 
Recheneinheit 20 aufgespielt werden. Die Rechenein- 
heit ist durch die auslesbar abgelegte Identif ikati- 
onssequenz 14 identif izierbar individualisiert . 
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Die Datenquelle 10 stellt einen Gesamtdatensatz 11 
bereit, der auf die Recheneinheit 20 uberspielt wer- 
den soil. Bei der Datenquelle 10 kann es sich sowohl 
urn Datenverarbeitungseinrichtungen, Werkstattgerate 
als auch urn Datentrager, insbesondere nur auslesbare 
Datentrager handeln. Der Gesamtdatensatz 11 gliedert 
sich in den wenigstens einen Datensatz 12, der in den 
Funktionsspeicher 26 eingebracht werden soil und der 
den Programmcode und/oder die wahrend der Abarbeitung 
eines Programms erf orderlichen Informationen enthalt 
und die Zusatzinf ormationen 13. Die Zusatzinf ormatio- 
nen beinhalten wenigstens eine Kennung 15b, zusatz- 
lich konnen auch weitere Informationen, wie eine I- 
dentif ikationssequenz 14 enthalt en. 

In dem Kennungsserver 18 ist zu einer Vielzahl von 
Recheneinheiten 20 jeweils ein Kennungsdatensatz 19 
abgelegt. Der Kennungsdatensatz 19 ist liber die Iden- 
tif ikationssequenz 14 jeweils identif izierbar und der 
Recheneinheit 20 mit der selben Identif ikationsse- 
quenz 14 zuordenbar. Ein Kennungsdatensatz 19 enthalt 
jeweils einen Zahler 24 dessen Zahlerstand bei jedem 
Abruf eines Elementes aus der Liste von Kennungen 
15a, 15b, 15c, 15d des Kennungsspeichers 10 inkremen- 
tiert wird. Daruber hinaus ist eine Protokolldatei 16 
vorhanden, in der die Herausgabe jeder einzelnen der 
Kennungen 15a, 15b, 15c, 15d an eine Datenquelle 10 
zusammen beispielsweise mit dem Empfanger, dem Uber- 
tragungsweg sowie dem Zeitpunkt der Obertragung pro- 
tokolliert wird. Die Obertragung von Informationen 
zwischen Kennungsserver 18 und Datenquelle 10 kann 
durch Datenf ernubertragung, wie Funk, Internet oder 
dergleichen erfolgen. Sowohl die Liste von Kennungen 
15a, . . . , 15d des Kennwortspeichers 15 als auch die 
Liste von Kennworten 25a,..., 25d des Kennwortspei- 
chers 25 wird beim ersten Bespielen der Recheneinheit 
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20 mit Daten erzeugt und in den entsprechenden Spei- 
chern 15, 25 abgelegt. 

Die Figur 2 zeigt das Flussdiagramm eines Verfahrens 
zum Obertragen wenigstens eines Datensatzes 12 an die 
Recheneinheit 20, wie es beispielsweise bei einer 
Konf iguration von Rechengerat 20, Datenquelle 10 und 
Kennungsserver 18 gemafi der Figur 1 durchflihrbar ist. 
Dabei zeigen die Schritte 201 bis 205 die vor der ei- 
gentlichen Obertragung des wenigstens einen Datensat- 
zes 12 durchgefiihrten Schritte, wahrend die Schritte 
206 bis 212 die bei der eigentlichen Dateniibertragung 
durchgefiihrten Schritte sind. 

Gemafi dem Schritt 201 des Verfahrens wird der zumin- 
dest eine Datensatz 12, der in die Recheneinheit 20 
ubertragen werden soli, bereitgestellt . Gemaft dem 
Schritt 202 wird anschliefiend die Recheneinheit 20, 
beispielsweise durch Auslesen der Identif ikationsse- 
quenz 14 uber die Schnittstelle 21 identif iziert . Die 
Identif ikation kann alternativ auch manuell erfolgen, 
indem die auf der Recheneinheit 20 ablesbar angeord- 
nete Identif ikationssequenz 14 abgelesen und manuell 
oder uber ein optisches Lesegerat erfasst wird. 

Anschliefiend wird gemafi dem Schritt 203 die erfor- 
derliche Kennung beim Kennungsserver 18 abgefragt. 
Hierzu wird dem Kennungsserver die zuvor ausgelesene 
Identif ikationssequenz ubermittelt. Aufgrund der I- 
dentif ikationssequenz wird im Identif ikationsserver 
auf den Kennungsdatensatz 19 zugegriffen, der der 
spezifischen Recheneinheit 20 zugeordnet ist. Dabei 
ist es auch moglich, dass zu Synchronisationszwecken 
der Zahlerstande auch der aktuelle Zahlerstand des 
Zahlers 24 der Recheneinheit ubermittelt wird. Es 
wird uberpriift, ob die Kennung an den Anfrager uber- 
mittelt werden darf, falls dies nicht der Fall ist, 
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wird der Zugriff verweigert, das Verfahren ist dann 
beendet. Es kann auch iiberpruft werden, ob die zur 0- 
berspielung beabsichtigten Datensatze 12 freigegeben 
sind und uberspielt werden durfen. Diese Obermittlung 
erfolgt somit nur an einen berechtigten, autorisier- 
ten und identif izierten Anfrager. 

Danach wird, soweit zulassig, gemaft dem Schritt 204 
des Verfahrens die nachste gultige Kennung 15b der 
Kennungsliste 15 ausgegeben. Hierzu wird zunachst der 
Zahler 24 des Kennungsservers 18 inkrementiert f wobei 
zuvor ein Angleichen an einen ubermittelten Zahler- 
stand erfolgen kann, so dass der Zahlerstand auf die 
nachste Kennung, die noch nicht verwendet wurde ver- 
weist. Entsprechend dem dann vorliegenden Zahler- 
stand, im in Figur 1 gezeigten Beispiel ist dies 2, 
wird eine dem Zahlerstand zugeordnete Kennung 15b des 
Kennungsspeichers 15 ausgelesen und an die Datenquel- 
le ubermittelt. Gleichzeitig wird die Protokolldatei 
16 entsprechend urn die der neuen Abfrage der Kennung 
zugeordneten Inf ormationen erganzt . 

Anschlieftend wird gemafl dem Schritt 205 in der Daten- 
quelle 10 das Gesamtdatenpaket 11 erzeugt. Das Ge- 
samtdatenpaket besteht aus dem mindestens einen Da- 
tensatz 12, und den zugeordneten Zusatzinf ormationen 
13, die im in Figur 1 dargestellten Ausf iihrungsbei- 
spiel aus der vom Kennungsserver 18 ubermittelten 
Kennung 15b und der Identif ikationssequenz 14 be- 
steht, wobei die Zusatzinf ormationen 13 auch weitere 
Daten enthalten kann. Mit Abschluss des Schrittes 205 
steht also ein Gesamtdatenpaket 11 bereit, das an die 
Recheneinheit 20 ubermittelbar ist* 

Von diesen Vorbereitungsschritten zeitlich und raum- 
lich getrennt kann das eigentliche Aufspielen des we- 
nigstens einen Datensatzes 12 auf die Recheneinheit 
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20 erfolgen. Hierzu wired gemafi dem Schritt 206 zu- 
nachst das Gesamtdatenpaket 11 uber die Schnittstelle 

21 auf den Zwischenspeicher 22 ubertragen. Durch den 
Abschluss des Ubertragens, und ggf. nach einer Besta- 
tigung des erf olgreichen Abschlusses des Obertra- 
gungsvorgangs, der beispielsweise auch von einem Be- 
diener erzeugt werden kann f wird die Uberprufung der 
ubertragenen Daten auf Gultigkeit durch die Uberpru- 
fungseinheit 23 gestartet. 

Hierzu greift gemafi dem Schritt 207 die OberprUf ungs- 
einheit 23 zunachst auf den Zahler 24 zu, dessen Zah- 
lerstand bei diesem Zugriff entsprechend inkremen- 
tiert wird. Aufgrund des Zahlerstandes wird gemafi 
dem Schritt 208 auf ein Kennwort 25a, 25b, 25c, 25d 
der Kennwortliste 25 verwiesen, im in der Figur 1 ge- 
zeichneten Fall beim Zahlerstand 2 auf das Kennwort 
25b. Dieses wird dann an die Oberpruf ungseinheit 23 
zuruckubermittelt . 

Gemafi dem Schritt 20 9 wird nun anhand des Kennwortes 
25b und der Kennung 15b uberpruft, ob der wenigstens 
eine Datensatz 12 gultig ist und in der Recheneinheit 
abgespeichert werden darf. Die Oberpruf ung kann ins- 
besondere in einem Vergleich auf Obereinstimmung zwi- 
schen Kennwort 25b und Kennung 15b bestehen. Wird ge- 
mafi dem Schritt 210 f estgestellt , dass die Gultigkeit 
nicht vorliegt, so wird das Sperrsignal erzeugt und 
zum Schritt 211 gesprungen. Gemafi dem Schritt 211 
werden dann die im Zwischenspeicher 22 gespeicherten 
Daten geldscht und das Verfahren wird ohne Obernehmen 
des wenigstens einen Datensatzes 12 in den Funktions- 
speicher 26 beendet. Eine Verwendung des ubermittel- 
ten wenigstens einen Datensatzes 12 in dem zentralen 
Rechner (CPU) 27 der Recheneinheit 20 ist damit aus- 
geschlossen. Das Ubertragungsverf ahren ist somit er- 
folglos beendet. 
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Bei Erkennen der Gultigkeit im Schritt 210 wird das 
Freigabesignal erzeugt und zum Schritt 212 gesprungen 
und zumindest der wenigstens eine Datensatz vom Zwi- 
schenspeicher 22 zu dem Funktionsspeicher 26 ubertra- 
gen. Der zentrale Rechner 27 der Recheneinheit 20 
greift bei seiner Arbeit auf den Funktionsspeicher 26 
zu und berucksichtigt dabei die in dem Funktionsspei- 
cher 26 abgespeicherten Daten, bei denen es sich so- 
wohl urn Programmcode fur den zentralen Rechner 27 als 
auch urn bei der Durchfuhrung eines Programms abge- 
fragten Inf ormationen wie Kennfelder und Steuerungs- 
parameter handeln kann. Wahrend dieses Obertragungs- 
vorgangs konnen im Funktionsspeicher enthaltene Da- 
ten, die ersetzt werden sollen uberschrieben werden. 
Hierzu kann es sich bei dem Funktionsspeicher 27 ins- 
besondere urn einen sogenannten Flash-Speicher han- 
deln, der durch flashen mit neuen Daten versorgt wer- 
den kann. Das Obertragungsverf ahren ist damit dann 
beendet . 
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PATENT AN S PROCHE 

1. Verfahren zum Oberspieleh wenigstens eines Daten- 
satzes einer externen Datenquelle in eine Rechen- 
einheit, wobei der wenigstens eine Datensatz von 
der externen Datenquelle zusammen mit Zusatzinfor- 
mationen in einen Zwischenspeicher der Rechenein- 
heit ubertragen werden, wobei aufgrund der Zusatz- 
inf ormationen eine Oberprufung der Zulassigkeit 
der Verwendung des wenigstens einen Datensatzes 
erfolgt, wobei ein Sperrsignal generiert wird, 
wenn die Oberprufung ergibt, dass die Verwendung 
nicht zulassig ist und dann ein Loschen des we- 
nigstens einen Datensatzes vom Zwischenspeicher 
erfolgt, und wobei ein Freigabesignal generiert 
wird, wenn die Verwendung des wenigstens einen Da- 
tensatzes zulassig ist, dadurch gekennzeichnet , 
dass die Zusatzinf ormationen (13) eine der Rechen- 
einheit (20) individuell zugeordnete Kennung 

( 15a, 15b, 15c, 15d) enthalten, wobei die Oberprufung 
der Giiltigkeit in der Recheneinheit (20) erfolgt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 
dass eine Kennung ( 15a , 15b, 15c, 15d) nur einmal zum 
Oberprufen eines in dem Zwischenspeicher (22) ab- 
gelegten, wenigstens einen ubermittelten Datensat- 
zes (12) gultig ist. 
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3. Verfahren nach einem der Anspruche 1 oder 2, da- 
durch gekennzeichnet , dass dann, wenn das Freiga- 
besignal erzeugt wurde, der wenigstens eine Daten- 
satz (12) von dem Zwischenspeicher (22) in einen 
Funktionsspeicher (26) , aus dem dieser zu Verar- 
beitungszwecken auslesbar sind, ubertragen wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet , 
dass die Kennung ( 15a, 15b, 15c, 15d) zusammen mit 
dem wenigstens einen Datensatz (12) im Funktions- 
speicher (26) abgespeichert und beim Aufrufen ei- 
nes Datensatzes (12) aus dem Funktionsspeicher 
(26) die zugehorige Kennung ( 15a, 15b, 15c, 15d) u- 
berpruft wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass in einem Kennwort- 
speicher (25) der Recheneinheit (20) eine Liste 
von Kennworten (25a, 25b, 25c, 25d) abgelegt ist, wo- 
bei die Kennung ( 15a, 15b, 15c, 15d) mit dem Kennwort 
(25a, 25b, 25c, 25d) verglichen wird und auf Gultig- 
keit geschlossen wird, wenn Kennwort 

(25a, 25b, 25c, 25d) und Kennung (15a, 15b, 15c, 15d) 
zueinander passen, insbesondere ubereinstimmen. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, 
dass ein Zahlerstand eines Zahlers (24) abgespei- 
chert ist, wobei der Zahler (24) auf ein Kennwort 
(25a, 25b, 25c, 25d) des Kennwortspeichers (25) ver- 
weist, und wobei vor jeder Oberpriifung der Kennung 
( 15a, 15b, 15c, 15d) von wenigstens einem im Zwi- 
schenspeicher (22) abgelegten Datensatz (12) der 
Zahlerstand des Zahlers (24) inkrementiert wird. 



7. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die Recheneinheit 
(20) uber eine Identif ikationssequenz (14) identi- 
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fizierbar ist, wobei die Identif ikationssequenz 
(14) vorzugsweise auch Teil der Zusatzinf ormatio- 
nen (13) ist und bei der Uberprufung der Gultig- 
keit des wenigstens einen Datensatzes (12) verwen- 
det wird. 

8. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet , dass in einem Kennungsser- 
ver (18) fur die Recheneinheit (20) gultige Ken- 
nungen ( 15a, 15b, 15c, 15d) abgespeichert sind. 

9. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass in dem Kennwortserver 
(18) fur eine Anzahl von Zahlerstanden des Zahlers 
(24) Kennungen (15a, 15b, 15c, 15d) abrufbar abge- 
speichert sind, wobei die Kennungen 

( 15a, 15b, 15c, 15d) insbesondere uber eine Identif i- 
kationssequenz (14) einer bestimmten Recheneinheit 
(20) zuordenbar sind. 

10 . Recheneinheit (20) mit einem Zwischenspeicher 
(22), einem uberschreibbaren Funktionsspeicher 
(26) , auf den wahrend der Funktion der Rechenein- 
heit zugegriffen wird, beide zum Ablegen von we- 
nigstens einem Datensatz (12) ausgebildet, und ei- 
ner Schnittstelle (21) zum Einspielen wenigstens 
eines Datensatzes (12) zusammen mit Zusatzinf orma- 
tion (13) in den Zwischenspeicher (22), mit einer 
Oberpriif ungseinheit (23) zum Uberprufen der Giil- 
tigkeit des wenigstens einen Datensatzes (12) nach 
einem der vorhergehenden Anspriiche. 

11 . Recheneinheit nach Anspruch 10, dadurch gekenn- 
zeichnet, dass die Recheneinheit (20) einen nur 
auslesbaren Kennwortspeicher (25) aufweist, wobei 
in dem Kennwortspeicher (25) Kennworte 

(25a, 25b, 25c, 25d) abgelegt sind und wobei dem 
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Kennwortspeicher (25) ein Zahler (24) mit inkre- 
mentierbarem Zahlerstand zugeordnet ist, der auf 
eines der Kennworte (25a, 25b, 25c, 25d) verweist und 
wobei die Recheneinheit (20) insbesondere uber ei- 
ne Identif ikationssequenz (14) individualisiert 
ist • 

12 . Recheneinheit nach einem der Anspruche 10 bis 11, 
dadurch gekennzeichnet, dass die Recheneinheit 
(20) ein Steuergerat eines Kraf tf ahrzeuges ist. 
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Fig ur 2 



